Politique de confidentialité

Dernière mise à jour : 14 mai 2026

En résumé : PassKeyra fonctionne par défaut 100 % hors-ligne. Vos mots de passe sont chiffrés AES-256-GCM et restent sur votre appareil. Une synchronisation cloud optionnelle (Premium) permet de sauvegarder vos données chiffrées sur Firebase, Google Drive ou OneDrive — vous gardez la clé de déchiffrement, aucun tiers (Google, Microsoft, le développeur) ne peut lire vos mots de passe.

1. Introduction

Bienvenue sur PassKeyra, un gestionnaire de mots de passe sécurisé développé par Steven Couton.

Votre vie privée est la priorité absolue du développeur. PassKeyra suit un modèle dit « zero-knowledge » : le mot de passe maître que vous choisissez n'est jamais transmis et ne quitte jamais votre appareil. Toutes les données synchronisées dans le cloud sont chiffrées localement avant d'être envoyées, avec une clé dérivée de ce mot de passe. Aucun tiers (le développeur compris) ne peut techniquement lire vos données.

Cette politique de confidentialité explique précisément quelles données sont collectées, par quels services, à quelles fins, et comment vous pouvez exercer vos droits.

2. Données collectées par PassKeyra

2.1 Mode local (par défaut, sans aucun compte)

Au premier lancement, PassKeyra fonctionne entièrement hors-ligne. Dans ce mode :

PassKeyra ne collecte AUCUNE donnée personnelle :

Pas de nom, prénom ou pseudonyme
Pas d'adresse email
Pas de numéro de téléphone
Pas de mot de passe ou code secret transmis quelque part
Pas de localisation GPS
Pas d'accès aux contacts, photos ou fichiers

Toutes vos informations (mots de passe, codes secrets, catégories) sont stockées uniquement sur votre appareil dans une base chiffrée AES-256-GCM (Hive), avec une clé dérivée par PBKDF2 (600 000 itérations) à partir de votre mot de passe maître.

2.2 Mode Cloud Sync (optionnel — utilisateurs Premium)

Si vous activez explicitement la synchronisation cloud (Paramètres → Synchronisation Cloud → Activer), PassKeyra vous demande de vous connecter avec un compte Google. Dans ce cas, les données suivantes sont collectées :

Donnée	Source	Finalité
Adresse email Google	Google Sign-In (OAuth)	Identification du compte cloud
Nom et photo de profil Google	Google Sign-In (OAuth)	Affichage dans l'app
UID Firebase Authentication	Firebase Auth	Liaison de vos données chiffrées à votre compte
Firebase Installation ID (FID)	Firebase SDK (automatique)	Identification technique de l'installation
Sauvegardes du coffre chiffrées E2E	Firestore	Synchronisation entre vos appareils

Important : les sauvegardes envoyées à Firestore sont chiffrées bout-en-bout avec une clé AES-256-GCM dérivée de votre mot de passe maître. Cette clé n'est jamais transmise. Ni Google, ni Firebase, ni le développeur ne peut déchiffrer vos mots de passe.

2.3 Backups manuels Google Drive / OneDrive (optionnel)

Vous pouvez aussi exporter manuellement votre coffre vers Google Drive ou OneDrive. Dans ce cas :

Les fichiers de sauvegarde sont chiffrés AES-256-GCM avant upload
Le scope OAuth Google Drive est drive.file : PassKeyra ne voit que les fichiers qu'il a lui-même créés, pas le reste de votre Drive
Le scope OneDrive est Files.ReadWrite.AppFolder : PassKeyra n'accède qu'à un dossier dédié dans votre OneDrive
Les tokens OAuth sont stockés localement dans le secure storage Android (chiffré)

3. Services tiers utilisés

3.1 Google AdMob (publicités — utilisateurs gratuits uniquement)

PassKeyra utilise Google AdMob (SDK google_mobile_ads:6.0.0) pour afficher des bannières publicitaires aux utilisateurs non Premium. AdMob peut collecter :

L'identifiant publicitaire Android (AAID)
Votre adresse IP
Le type d'appareil et la version du système
Une localisation approximative (basée sur l'IP)
Les données d'interaction avec les publicités

Ces données sont collectées et traitées par Google, pas par PassKeyra. App ID AdMob déclaré : ca-app-pub-9620704693689273~9525212822.

Pour en savoir plus :

Vous pouvez désactiver complètement les publicités en passant à la version Premium.

3.2 Consentement RGPD et publicité personnalisée (utilisateurs EEE/UK/CH)

Si vous résidez dans l'Espace Économique Européen, au Royaume-Uni ou en Suisse, PassKeyra utilise le Google User Messaging Platform (UMP) pour obtenir votre consentement conformément au RGPD et au TCF v2.2.

Au premier lancement, un formulaire de consentement vous propose :

Accepter : publicités personnalisées basées sur vos centres d'intérêt
Refuser : publicités génériques non personnalisées uniquement
Gérer les préférences : choisir précisément quelles données vous autorisez

Vous pouvez modifier votre consentement à tout moment depuis les Paramètres → Confidentialité et Données.

3.3 Google Play Billing (achats Premium)

Si vous achetez la version Premium, le paiement est traité par Google Play Billing. PassKeyra ne collecte ni ne stocke vos informations bancaires ou de paiement. Toutes les transactions sont gérées directement par Google Play.

Pour plus d'informations : Politique de confidentialité de Google Payments

3.4 Firebase Authentication (Cloud Sync — Premium)

Pour la synchronisation cloud, PassKeyra utilise Firebase Authentication avec le fournisseur Google Sign-In. Données stockées par Firebase :

UID Firebase (identifiant interne unique)
Adresse email du compte Google
Métadonnées techniques (date de création, dernière connexion)

Firebase est un service de Google. Project ID : passkeyra. Politique de confidentialité Firebase

3.5 Cloud Firestore (sauvegardes chiffrées)

Vos sauvegardes sont stockées dans Cloud Firestore (base NoSQL Google). Structure : users/{votre_uid}/vault/data/.... Les Firestore Rules empêchent techniquement tout autre utilisateur de lire vos documents :

match /users/{uid}/{document=**} {
  allow read, write: if request.auth != null
                     && request.auth.uid == uid;
}

Tous les blobs stockés dans Firestore sont chiffrés AES-256-GCM côté client avant l'upload. Firestore ne voit que des données binaires opaques.

3.6 Google Drive (backup manuel)

Si vous activez la sauvegarde Google Drive, PassKeyra utilise l'API Drive avec le scope limité https://www.googleapis.com/auth/drive.file. PassKeyra ne peut accéder qu'aux fichiers qu'elle a elle-même créés (préfixe passkeyra_backup_), pas au reste de votre Drive.

3.7 OneDrive (backup manuel)

Si vous activez la sauvegarde OneDrive, PassKeyra utilise l'API Microsoft Graph avec le scope Files.ReadWrite.AppFolder. PassKeyra n'accède qu'à un dossier dédié dans votre OneDrive (AppRoot), pas au reste de vos fichiers. Déclaration de confidentialité Microsoft

4. Permissions Android demandées

Permission	Usage	Optionnelle ?
`USE_BIOMETRIC` / `USE_FINGERPRINT`	Déverrouillage par empreinte ou reconnaissance faciale. Les données biométriques restent sur votre appareil et ne sont jamais transmises.	Oui (l'app fonctionne sans biométrie)
`INTERNET`	Synchronisation Firebase, backups Drive/OneDrive et publicités AdMob. Aucun trafic HTTP en clair n'est autorisé (cleartext bloqué par `network_security_config`).	Oui (mode hors-ligne pleinement fonctionnel)
`ACCESS_NETWORK_STATE`	Vérifier la connectivité avant une synchronisation cloud.	Oui
`com.google.android.gms.permission.AD_ID`	Identifiant publicitaire requis par AdMob (Android 13+). Désactivé en version Premium (pas de pubs).	Oui (consent-dépendant via UMP)

PassKeyra ne demande PAS :

Votre localisation (GPS)
Votre carnet de contacts
Votre appareil photo ou galerie
Vos SMS ou appels téléphoniques
Votre stockage externe (sauf pour les sauvegardes que vous créez manuellement)

Aucune permission « dangereuse » Android n'est demandée.

5. Sécurité des données

PassKeyra utilise plusieurs couches de sécurité :

Chiffrement AES-256-GCM pour le coffre local (Hive) et toutes les sauvegardes
PBKDF2 600 000 itérations (dérivation native via cryptography_flutter) pour transformer votre mot de passe maître en clé de chiffrement
Android Keystore pour le wrap biométrique de la clé maître
FLAG_SECURE activé : bloque les captures d'écran et l'aperçu de l'app dans le sélecteur de tâches
Network Security Config : tout trafic HTTP en clair est bloqué, seul HTTPS avec validation TLS standard est autorisé
Comparaisons timing-safe sur les tokens de validation
Zeroize en RAM : la clé dérivée est mise à zéro octet par octet à chaque verrouillage de l'app
Auto-lock par inactivité (configurable, défaut 120 s)

Important : si vous oubliez votre mot de passe maître, il est impossible de récupérer vos données. Le développeur ne peut pas vous aider car il n'a aucun moyen technique d'accéder à vos informations chiffrées.

6. Vos droits (RGPD / GDPR)

Si vous résidez dans l'Union Européenne, vous bénéficiez des droits suivants en vertu du Règlement Général sur la Protection des Données (RGPD). Voici comment les exercer concrètement avec PassKeyra :

Droit RGPD	Comment l'exercer
Article 15 — Droit d'accès	Vos données sont déjà 100 % visibles dans l'application. Aucune donnée cachée n'est conservée côté serveur (les sauvegardes Firestore sont chiffrées et la clé ne quitte jamais votre appareil).
Article 16 — Rectification	Modifiez n'importe quelle entrée directement dans l'application.
Article 17 — Effacement (« droit à l'oubli »)	Voir Section 8 — Suppression de compte. Mécanismes in-app et par email disponibles.
Article 18 — Limitation du traitement	Désactivez le Cloud Sync pour stopper toute transmission. Désactivez le consentement AdMob pour stopper la collecte publicitaire.
Article 20 — Portabilité	Fonction Sauvegarde locale dans Paramètres : exporte un fichier JSON chiffré, restaurable sur n'importe quelle instance PassKeyra.
Article 21 — Opposition	Refusez le consentement AdMob via le formulaire UMP au lancement, ou modifiez à tout moment dans Paramètres → Confidentialité.

Pour les données collectées par Google AdMob, vous pouvez aussi exercer vos droits directement auprès de Google : Paramètres de confidentialité Google.

7. Partage de données avec des tiers

PassKeyra ne vend ni ne partage vos données à des fins commerciales. Les seules entités tierces qui reçoivent des données sont les services techniques nécessaires au fonctionnement :

Google (AdMob, Firebase Auth, Firestore, Drive, Play Billing) — pour les fonctionnalités correspondantes décrites en section 3
Microsoft (OneDrive) — uniquement si vous activez les backups OneDrive

Aucune donnée n'est envoyée à des courtiers de données, agences marketing tierces, ou réseaux sociaux. Les sauvegardes envoyées dans le cloud sont chiffrées E2E : les serveurs reçoivent des données binaires opaques.

8. Suppression de compte et de données

Synthèse : PassKeyra propose deux mécanismes pour supprimer votre compte cloud et vos données : directement depuis l'application (immédiat) ou par email (sous 30 jours maximum).

8.1 Suppression depuis l'application (recommandée — immédiate)

Procédure :

Ouvrir PassKeyra
Aller dans Paramètres → Synchronisation Cloud
Appuyer sur l'icône « ? » en haut à droite de la page
Faire défiler jusqu'en bas de la page d'aide et appuyer sur le lien rouge « Supprimer mon compte cloud »
Confirmer dans la boîte de dialogue

Effet immédiat :

Suppression de votre compte Firebase Authentication (UID, email)
Suppression de toutes vos sauvegardes synchronisées dans Firestore
Déconnexion de Google Sign-In

8.2 Suppression par email (si vous n'avez plus l'application)

Si vous avez désinstallé PassKeyra ou ne pouvez plus l'ouvrir, envoyez un email à :

Adresse : [email protected]
Sujet : « Suppression de compte PassKeyra »
Corps du message : indiquez l'adresse email Google associée à votre compte PassKeyra

Délai : votre demande sera traitée sous 30 jours maximum conformément au RGPD (Article 12).

8.3 Données supprimées

Compte Firebase Authentication (UID, email, métadonnées)
Profil Google Sign-In stocké côté Firebase (nom, email, photo)
Toutes les sauvegardes Firestore (toutes versions, chiffrées E2E)
Tokens OAuth Google Drive et OneDrive (si vous les utilisiez pour vos backups)

8.4 Données conservées

Aucune. La suppression est complète et définitive. Aucune copie n'est conservée par le développeur. Les délais techniques de réplication Google Cloud (~14 jours, hors contrôle du développeur) s'appliquent ensuite avant suppression physique des serveurs Google.

8.5 Suppression partielle (sans supprimer le compte)

Vous pouvez aussi supprimer une partie de vos données sans fermer votre compte :

Désactiver le Cloud Sync tout en gardant le compte : Paramètres → Synchronisation Cloud → Désactiver
Supprimer une seule entrée : appui long sur l'entrée dans la liste → Supprimer
Vider tout le coffre local : Paramètres → Réinitialiser l'application
Désinstaller l'application : supprime toutes les données locales chiffrées (vault Hive + secure storage Android)

8.6 Données locales (sur votre appareil)

Les données locales (vault chiffré AES-256-GCM dans Hive, secure storage Android) ne sont jamais transmises au développeur. Pour les supprimer :

Bouton « Réinitialiser » dans Paramètres → Avancé
Désinstaller l'application (suppression complète automatique)
Effacer les données via Paramètres Android → Applications → PassKeyra → Stockage → Effacer les données

9. Conservation des données

Durées de conservation par type de donnée :

Donnée	Conservée où	Conservée combien de temps
Mot de passe maître	RAM uniquement (jamais stocké)	Effacé à chaque verrouillage de l'app
Coffre local (entrées chiffrées)	Hive sur l'appareil	Aussi longtemps que vous le souhaitez
Email Google + UID Firebase	Firebase	Tant que la sync est active (suppression sur demande)
Sauvegardes Firestore (chiffrées E2E)	Firestore	Tant que la sync est active (suppression sur demande)
Sauvegardes Drive/OneDrive (chiffrées)	Votre Drive/OneDrive personnel	Sous votre contrôle exclusif
AAID AdMob (utilisateurs gratuits)	Serveurs Google AdMob	Sous contrôle Google (réinitialisable via Paramètres Android)
Logs Play Console (crashs, installs)	Serveurs Google Play	Selon les politiques Google (hors contrôle PassKeyra)

Les données locales sont automatiquement supprimées si vous :

Désinstallez l'application
Effacez les données de l'application via les Paramètres Android
Utilisez la fonction « Réinitialiser » dans l'application

10. Données des enfants

PassKeyra ne cible pas les enfants de moins de 13 ans. L'application contient des publicités (pour les utilisateurs non-Premium) et est classée 13+ sur le Google Play Store.

PassKeyra ne collecte pas sciemment de données auprès d'enfants. Si vous êtes parent et pensez que votre enfant a fourni des informations, contactez le développeur immédiatement pour que les mesures appropriées puissent être prises.

11. Modifications de cette politique

Cette politique de confidentialité peut être mise à jour de temps à autre. Toute modification sera publiée sur cette page avec une nouvelle date de « Dernière mise à jour ». Il est recommandé de consulter régulièrement cette page pour rester informé.

Les modifications importantes seront notifiées via l'application ou une mise à jour sur le Play Store.

12. Contact

Pour toute question concernant cette politique de confidentialité, vos données personnelles, ou pour exercer vos droits RGPD, vous pouvez contacter le développeur :

Email : [email protected]
Développeur : Steven Couton
Adresse : 45 Rue Jodon, 45700 Villemandeur, France

13. Juridiction

Cette politique de confidentialité est régie par les lois françaises et européennes. En cas de litige, les tribunaux français seront compétents.

Développée avec l'assistance d'outils d'intelligence artificielle pour garantir la qualité et la sécurité du code.